1 恶意代码信息
名称:Trojan.DelShad.if
类型:勒索病毒
MD5:d54fa56f495571d8000ced3fefccf2a7
SHA1:e4f65eba10cc0dc840549dc3ec5212e015564b1b
文件类型:PE 32位
文件大小:676,864 字节
传播途径:无主动传播途径
影响系统:windows xp及以上
2 恶意代码概况
近日,江民赤豹安全实验室捕获到MedusaLocker勒索病毒样本。该病毒从2019年10月份开始在国内传播,目前国内已有多家企业遭受此病毒攻击。Medusa Ransom勒索病毒的名字起源于古希腊神话“美杜莎”,分析过程发现,该病毒的多个版本被泄露了出来,其中包括了黑客开发过程中的Debug版本。该病毒主要通过攻击者暴力破解远程桌面口令后手动运行感染,并且会遍历本地以及网络共享磁盘,使用RSA+AES方式加密数据文件,故在无相应私钥的情况下无法解密,危害性较高。
3 手工清除方法
结束名为svchostt.exe的进程,删除计划任务库根目录中名为“svchostt”的任务,删除本地svchostt.exe文件,删除6.3增加的注册表项。
4 应对措施及建议
面对恶意攻击我们除做好准备工作外,还需要及时采取高防措施,保护平台业务稳定发展不受影响。
1. 安装江民杀毒软件病毒更新病毒库。
2. 对不必要的机器关闭远程桌面服务。
3. 对需要远程桌面服务的机器使用强密码,且两两不同。
4. 病毒会排除对.rdp文件的加密,若中毒机器本地保存着对其他机器的rdp连接密码,则应对中毒的机器应立即隔离。
5. 由于攻击者多为远程手动投毒,那么意味着即便安装了安全软件,攻击者也能手动结束安全软件,除非在安全软件上设定了更改验证密码。
6. 禁用Guest账户。
7. 检测系统和软件中的安全漏洞,及时更新补丁。
5 行为摘要
5.1 文件行为
创建C:\Users\Administrator\AppData\Roaming\svchostt.exe病毒文件
全盘遍历加密除指定后缀名之外的文件。
5.2 进程行为
创建“{8761ABBD-7F85-42EE-B272-A76179687C63}”互斥体
创建名为“svchostt”的计划任务
通过cmstplua COM接口提权
停止以下服务:wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,sqlwriter,msmdsrv,tomcat6,zhudongfangyu,SQLADHLP,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8
重启以下服务以使得更改立即生效:
LanmanWorkstation
结束以下进程:
wxServer.exe,wxServerView,sqlservr.exe,sqlmangr.exe,RAgui.exe,supervise.exe,Culture.exe,RTVscan.exe,Defwatch.exe,sqlbrowser.exe,winword.exe,QBW32.exe,QBDBMgr.exe,qbupdate.exe,QBCFMonitorService.exe,axlbridge.exe,QBIDPService.exe,httpd.exe,fdlauncher.exe,MsDtSrvr.exe,tomcat6.exe,java.exe,360se.exe,360doctor.exe,wdswfsafe.exe,fdlauncher.exe,fdhost.exe,GDscan.exe,ZhuDongFangYu.exe
执行以下命令,删除系统备份,禁用系统恢复功能等:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
wmic.exe SHADOWCOPY /nointeractive
5.3 注册表行为
修改“HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System” 下“EnableLUA”值为0(UAC窗口不再提示), 设置“ConsentPromptBehaviorAdmin”值为0(运行程序需要提权时不再需要输入凭证)
先修改“HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System”下“EnableLinkedConnections”值为1(强制局域网共享的硬盘在本地创建符号链接,便于后续遍历加密)
创建HKCU\\SOFTWARE\\Medusa下“Name”值为“svchostt.exe”,为本程序名
5.4 网络行为
向本机地址发送ICMP包
6 详细分析报告
1. 尝试打开名为”{8761ABBD-7F85-42EE-B272-A76179687C63}”的互斥体,若成功,代表已有勒索病毒运行,本进程退出;若无,本进程继续运行:
2. 检测本进程是否具有管理员权限,若无,则通过cmstplua COM接口提权:
3. 创建注册表项:
4. 初始化加密相关函数,使用RSA+AES方式,得到本机识别id,创建勒索html文件,并填入本机识别id:
这也意味着被加密的文件在无私钥的情况下无法解密
5. 创建病毒的持久化机制,即添加计划任务,这里通过CLSID_TaskScheduler COM接口添加,任务名为“svchostt”:
6. 停止并删除指定服务,避免后续结束进程后进程重启,服务列表见进程行为部分:
7. 终止指定进程,避免后续加密文件时进程占用,进程列表见进程行为部分:
8. 终止本机的恢复机制等,包括清空回收站,删除系统备份等:
9. 设置注册表”EnableLinkedConnections”值为1,后重启“LanmanWorkstation”服务,使得更改立即生效,该更改的效果为使得局域网共享磁盘在本地创建符号链接,使得后续遍历磁盘时能够遍历到,便于加密:
10. 准备用于加密的目录,除了遍历得到目录外,还有预设尝试的重要目录:
11. 开始加密:
加密会避过以下格式文件:
排除.encrypted以避免重复加密,另外,需要注意的是,作者避免了对.rdp格式文件的加密,这样就可以使得攻击者由保存的rdp密码继续攻击其他机器,务必注意!
7 附录(IOCs)
7.1 HASH
d54fa56f495571d8000ced3fefccf2a7
7.2 C&C
无
来源:freebuf.com 2019-11-11 17:53:59 by: 江民安全实验室
请登录后发表评论
注册